Des serrures « aisément » piratables dans 140 000 hôtels
Deux experts finlandais, Tomi Tuominen et Timo Hirvonen, ont démontré, au terme d’une longue étude, que les serrures Vision équipées d’un lecteur de carte RFID commercialisées par Vingcard pouvaient assez facilement être piratées. Si les voleurs disposent d’une clé électronique périmée et de quelques talents, ils peuvent pénétrer dans une chambre d’hôtel sans laisser la moindre trace d’effraction.
« Les deux chercheurs ont en fait trouvé une technique pour ne pas simplement cloner les codes RFID des serrures Vision de Vingcard, mais pour créer une clé passe-partout qui peut ouvrir n’importe quelle chambre d’hôtel, nous apprend L’Écho Touristique, sur base d’un article publié dans Wired. Avec un outil de lecture et d’écriture de carte RFID Proxmark à 300 dollars, une carte-clé périmée (récupérée dans la poubelle d’un hôtel cible) et des astuces cryptographiques, ils ont trouvé une méthode pour réduire considérablement le code clé maître possible d’un hôtel. Ils ont ensuite réussi à identifier un code valide en 20 essais environ, pour ensuite écrire ce code maître sur une carte qui donne au pirate le droit de circuler librement dans n’importe quelle pièce de l’établissement. »
Concrètement, en une minute à peine, Tomi Tuominen estime pouvoir obtenir « un passe-partout pour tout l’établissement ».
Si la nouvelle génération de serrures Vision n’est pas concernée par ce problème, les experts estiment que « 140 000 hôtels dans plus de 160 pays à travers le monde » devraient s’inquiéter. Soit des millions de portes vulnérables…
Informée de cet inquiétant souci, la maison-mère de Vingcard, la suédoise Assa Abloy, a proposé une mise à jour de sécurité logicielle, disponible sur son site web. « Problème : comme les serrures de Vingcard n’ont pas de connexion Internet, ce logiciel doit être installé manuellement par un technicien, serrure par serrure », conclut L’Écho Touristique.